CN113572791A - 一种视频物联网大数据加密服务方法、系统及装置 - Google Patents

一种视频物联网大数据加密服务方法、系统及装置 Download PDF

Info

Publication number
CN113572791A
CN113572791A CN202111113169.4A CN202111113169A CN113572791A CN 113572791 A CN113572791 A CN 113572791A CN 202111113169 A CN202111113169 A CN 202111113169A CN 113572791 A CN113572791 A CN 113572791A
Authority
CN
China
Prior art keywords
internet
things
optical fiber
encryption
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111113169.4A
Other languages
English (en)
Other versions
CN113572791B (zh
Inventor
王滨
陈达
陈加栋
李超豪
姚相振
李琳
黄晶晶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Hikvision Digital Technology Co Ltd
Original Assignee
Hangzhou Hikvision Digital Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Hikvision Digital Technology Co Ltd filed Critical Hangzhou Hikvision Digital Technology Co Ltd
Priority to CN202111113169.4A priority Critical patent/CN113572791B/zh
Publication of CN113572791A publication Critical patent/CN113572791A/zh
Application granted granted Critical
Publication of CN113572791B publication Critical patent/CN113572791B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/50Safety; Security of things, users, data or systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Power Engineering (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供了视频物联网大数据加密服务方法、系统及装置。本申请中,服务器集群在接收到物联网设备的服务请求后,并非直接盲目地响应该服务请求,而是先对该物联网设备进行认证,在认证通过后再通过判断服务请求带的物联网设备当前的运行环境参数是否与物联网设备已注册的合法运行环境参数是否匹配来验证物联网设备当前是否处于安全状态,一旦匹配才会借助于服务请求携带的物联网设备当前的运行环境参数以及已为物联网设备分配的数据加密区对应的根密钥进行响应,实现了物联网设备与服务器集群一起协同提供服务,比如物联网设备与服务器集群一起协同解密密钥密文得到数据加密密钥,避免了所有的加解密都集中固定在一端,提高了加密性能和安全性。

Description

一种视频物联网大数据加密服务方法、系统及装置
技术领域
本申请涉及数据安全技术,特别涉及一种视频物联网大数据加密服务方法、系统及装置。
背景技术
目前,在物联网应用中,物联网设备会产生大量数据。该数据比如为视频数据等,可统称为视频物联网大数据。
为防止非法人员越权访问和查看上述物联网设备产生的视频物联网大数据,以避免一些因为隐私安全问题而造成的严重网络安全事件,常需要对上述物联网设备产生的视频物联网大数据进行加密处理。而目前专用于数据加密的设备在面对大量物联网设备产生的视频物联网大数据进行加密时,常会出现性能问题。
发明内容
本申请提供了一种视频物联网大数据加密服务方法、系统及装置,以提高数据加密性能。
本申请提供一种视频物联网大数据加密服务方法,该方法应用于物联网中新部署的服务器集群,服务器集群中的服务器包括至少一个FC光纤加密卡、以及虚拟出的至少一个虚拟设备;所述FC光纤加密卡至少由FC光纤网卡和密码卡组成,FC光纤加密卡在对数据加密得到加密数据后直接通过光纤发送加密数据至FC交换机以由FC交换机将加密数据存入至存储介质,每一FC光纤加密卡与至少一个虚拟设备绑定,所述服务器集群中的其中一个虚拟设备作为主设备Master,剩余的作为从设备Worker,该方法包括:
所述Master接收物联网设备发送的服务请求,在确定所述物联网设备通过认证时,判断服务请求携带的所述物联网设备当前的运行环境参数是否与所述物联网设备已注册的合法运行环境参数匹配,若匹配,则依据各Worker的资源占用情况并按照负载均衡方式从各Worker中选择目标虚拟设备,并依据与目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的当前负载状态,确定目标FC光纤加密卡;
所述Master将目标FC光纤加密卡的标识和服务请求一起转发至目标虚拟设备;所述目标虚拟设备在服务请求还携带密钥密文时,则利用服务请求携带的所述运行环境参数、以及已为所述物联网设备分配的数据加密区对应的根密钥对密钥密文进行解密得到数据加密密钥,并调用目标FC光纤加密卡利用所述数据加密密钥加密所述物联网设备采集的数据得到加密数据以通过光纤将加密数据发送至FC交换机由FC交换机将加密数据存入存储介质。
本申请实施例还提供一种视频物联网大数据加密服务方法,该方法应用于物联网中新部署的服务器集群,服务器集群中的服务器包括至少一个FC光纤加密卡,FC光纤加密卡至少由FC光纤网卡和密码卡组成,FC光纤加密卡在对数据加密得到加密数据后直接通过光纤发送加密数据至FC交换机以由FC交换机将加密数据存入至存储介质;所述服务器集群中的服务器上虚拟出至少一个虚拟设备,服务器中的每一FC光纤加密卡与虚拟出的至少一个虚拟设备绑定,所述服务器集群中的其中一个虚拟设备作为主设备Master,剩余的作为从设备Worker,该方法包括:
任一Worker在作为所述Master选择的目标虚拟设备时接收所述Master转发的来自物联网设备的服务请求;所述目标虚拟设备是由所述Master在确定所述物联网设备通过认证、并判断所述服务请求携带的所述物联网设备当前的运行环境参数与所述物联网设备已注册的合法运行环境参数匹配时,依据各Worker的资源占用情况并按照负载均衡方式从各Worker中选择出的;
所述Worker在所述服务请求还携带密钥密文时,所述密钥密文是通过对所述物联网设备所需的数据加密密钥进行加密得到的,则利用所述服务请求携带的所述运行环境参数、以及已为所述物联网设备分配的数据加密区对应的根密钥对所述密钥密文进行解密得到所述数据加密密钥,并调用目标FC光纤加密卡利用所述数据加密密钥加密所述物联网设备采集的数据得到加密数据以通过光纤将加密数据发送至FC交换机以由FC交换机将加密数据存入存储介质;所述目标FC光纤加密卡是由所述Master依据与目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的当前负载状态确定的。
本申请实施例提供一种视频物联网大数据加密服务系统,该系统应用于物联网中新部署的服务器集群,服务器集群中的服务器包括至少一个FC光纤加密卡,FC光纤加密卡至少由FC光纤网卡和密码卡组成,FC光纤加密卡在对数据加密得到加密数据后直接通过光纤发送加密数据至FC交换机以由FC交换机将加密数据存入至存储介质;所述服务器集群中的服务器上虚拟出至少一个虚拟设备,服务器中的每一FC光纤加密卡与虚拟出的至少一个虚拟设备绑定,所述服务器集群中的其中一个虚拟设备作为主设备Master,剩余的作为从设备Worker;
所述Master接收物联网设备发送的服务请求,在确定所述物联网设备通过认证时,判断服务请求携带的所述物联网设备当前的运行环境参数是否与所述物联网设备已注册的合法运行环境参数匹配,若匹配,则依据各Worker的资源占用情况并按照负载均衡方式从各Worker中选择目标虚拟设备,并依据与目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的当前负载状态,确定目标FC光纤加密卡,将目标FC光纤加密卡的标识和服务请求一起转发至目标虚拟设备;
所述Worker,在作为所述Master选择的目标虚拟设备时接收服务请求,在服务请求还携带密钥密文时,则利用服务请求携带的所述运行环境参数、以及已为所述物联网设备分配的数据加密区对应的根密钥对密钥密文进行解密得到数据加密密钥,并调用目标FC光纤加密卡利用所述数据加密密钥加密所述物联网设备采集的数据得到加密数据以通过光纤将加密数据发送至FC交换机由FC交换机将加密数据存入存储介质。
本申请实施例还提供了一种电子设备。该电子设备包括:处理器和机器可读存储介质;
所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现上述公开的方法的步骤。
由以上技术方案可以看出,本申请中,服务器集群在接收到物联网设备的服务请求后,并非直接盲目地响应该服务请求,而是先对该物联网设备进行认证,在认证通过后再通过判断服务请求带的物联网设备当前的运行环境参数是否与物联网设备已注册的合法运行环境参数是否匹配来验证物联网设备当前是否处于安全状态,一旦匹配,才会进一步响应服务请求,这实现了服务器集群只为处于安全状态的物联网设备提供服务,防止恶意攻击、或者物联网设备文件系统被破坏等情况下提供服务而出现安全问题,提高加密性能;
进一步地,在本实施例中,服务器集群在响应服务请求时,需要借助于服务请求携带的物联网设备当前的运行环境参数、以及已为物联网设备分配的数据加密区对应的根密钥进行响应,实现了物联网设备与服务器集群一起协同提供服务,比如服务请求携带密钥密文,则物联网设备与服务器集群一起协同解密密钥密文得到数据加密密钥,避免了所有的加解密都集中固定在一端,提高了加密性能和安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1为本申请实施例提供的第一方法流程图;
图2为本申请实施例提供的步骤101中确定物联网设备通过认证的流程图;
图3为本申请实施例提供的安全加固双向身份认证的流程图;
图4为本申请实施例提供的监控服务器集群的流程图;
图5为本申请实施例提供的第二方法流程图;
图6为本申请实施例提供的系统结构图;
图7为本申请实施例提供的第一装置结构图;
图8为本申请实施例提供的第二装置结构图;
图9为本申请实施例提供的电子设备结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
在描述本实施例提供的方法之前,先描述为实现本实施例提供的方法而专门在物联网中新部署的服务器集群。
作为一个实施例,本实施例可在物联网比如视频物联网环境下通过使用物理服务器搭建上述的服务器集群。在本实施例中,对于服务器集群的访问方式有多种,比如,通过restful接口(兼容不同的设备架构与编程语言架构)直接以拼接HTTP协议的方式与服务器集群交互;再比如通过RPC远程接口(比如SDK支持的国内GMT 0051密码设备管理接口、GM/T0018密码设备应用接口、国际KMIP密钥管理接口等)调用方式与服务器集群交互;再比如通过加密代理(在用户侧VLAN中额外部署一个软件库或系统服务作为加密代理)统一对接已经上线的视频物联网设备和服务器集群,以负责在服务器集群与物联网设备之间的交互(比如安全协议封装解析、网络通信、权限鉴别凭据统一管理等)。本实施例并不具体限定服务器集群的访问方式。
作为一个实施例,服务器集群中的每一服务器上配有至少一张FC光纤加密卡。这里,配有至少一张FC光纤加密卡的服务器,又称高性能物理服务器。
在本实施例中,FC光纤加密卡用于提供高性能存储和密码运算资源,也为服务器集群的上层应用提供支撑。
可选地,作为一个实施例,FC光纤加密卡可通过将FC光纤网卡和密码卡定制结合形成。也即,FC光纤加密卡至少由FC光纤网卡和密码卡组成。在本实施例中,FC光纤加密卡在对数据加密后直接将加密数据(经由内部的光收发器发出)通过光纤传输至FC交换机以由FC交换机将加密数据存入至存储介质(具体可为存储服务器,以下均以存储服务器为例描述),无需再上送至同一服务器内的CPU再由CPU转发加密数据至FC光纤网卡以通过FC光纤网卡将加密数据存入至存储服务器,减少了数据在服务器内部硬件中通信的时间损耗。
还有,在本实施例中,基于FC光纤加密卡直接将加密数据发出(具体是通过FC光纤加密卡内部的光收发器发出)以经光纤传输至FC交换机以由FC交换机将加密数据存入至存储服务器,这实质上相当于搭建了和物联网(比如TCP/IP)独立的光纤专用网络(即FC光纤加密卡内的光收发器通过光纤接入FC交换机、存储服务器的网络),FC光纤加密卡发送的加密数据不再占用物联网(比如TCP/IP)原有的加密存储带宽,节省带宽资源。
还有,在本实施例中,服务器集群中的每一服务器也使能了虚拟化功能,比如在服务器操作系统设置PCIE物理接口SRIOV虚拟化功能。服务器集群中的每一服务器基于上述虚拟化功能可在服务器上虚拟出至少一个虚拟设备。这里的虚拟设备可为虚拟机、docker等,本实施例并不具体限定,统一称为虚拟设备。
在本实施例中,服务器上的每一FC光纤加密卡与至少一个虚拟设备绑定。可选地,作为一个实施例,每一服务器上的每一FC光纤加密卡被分配与同一服务器上虚拟出的至少一个虚拟设备绑定。比如,服务器集群中包括服务器a1,服务器a1包括两个FC光纤加密卡(记为卡1_1、卡1_2)、且服务器a1上虚拟出3个虚拟设备(记为VM 1_3、VM 1_4、VM 1_5),则作为一个实施例,服务器a1上的其中一个FC光纤加密卡比如卡1_1与该服务器a1上的其中两个虚拟设备比如VM 1_3、VM 1_4绑定,另一FC光纤加密卡比如卡1_2与该服务器a1上的虚拟设备比如VM 1_5绑定。
在本实施例中,服务器集群中的所有虚拟设备(包括各服务器上虚拟出的虚拟设备)中,其中一个虚拟设备被选举或者被指定为主设备(Master),剩余的作为从设备(Worker)。这里,选举Master的方式类似可参考现有选举方式,本实施例并不重点描述如何选举Master。
下面站在Master角度描述本实施例提供的方法:
参见图1,图1为本申请实施例提供的第一方法流程图。该方法应用于上述的Master。
如图1所示,该流程可包括以下步骤:
步骤101,Master接收物联网设备发送的服务请求,在确定物联网设备通过认证时,判断服务请求携带的物联网设备当前的运行环境参数是否与物联网设备已注册的合法运行环境参数匹配,若匹配,则依据各Worker的资源占用情况并按照负载均衡方式从各Worker中选择目标虚拟设备,并依据与目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的当前负载状态,确定目标FC光纤加密卡。
在本实施例中,物联网设备在访问服务器集群(也即在发送服务请求)前,须向上述Master发起注册请求。其中,该注册请求至少携带了物联网设备的身份标识(唯一)、物联网设备的设备信息比如MAC地址,设备IP地址等、物联网设备的用户名和密码、以及物联网设备的合法运行环境参数。这里,物联网设备的合法运行环境参数可包括物联网设备在出厂状态下或安全环境下稳定运行一段时间时的状态标识数据。这里的状态标识数据比如为关键系统文件结构或进程树的哈希值、网络流量的阈值等,本实施例并不具体限定。一旦物联网设备注册成功后,Master会将上述注册请求至少携带的物联网设备的身份标识(唯一)、物联网设备的设备信息比如MAC地址,设备IP地址等、物联网设备的用户名和密码、以及物联网设备的合法运行环境参数等建立绑定关系并存储。这里Master可将上述绑定关系存储在硬件密码设备比如上述的FC光纤加密卡等,本实施例并不具体限定。
当物联网设备成功完成注册后,后续若存在使用上述服务器集群提供的服务需求比如加密、请求密钥等,则会发送服务请求。如此,最终上述服务器集群中的上述Master会接收到物联网设备发送的该服务请求。
如步骤101描述,当Master接收到物联网设备发送的服务请求,则先对物联网设备进行认证。下文会重点描述对物联网设备进行的认证,这里暂不赘述。当Master确定物联网设备通过认证时,则判断服务请求携带的物联网设备当前的运行环境参数是否与物联网设备已注册的合法运行环境参数匹配。本实施例之所以判断服务请求携带的物联网设备当前的运行环境参数是否与物联网设备已注册的合法运行环境参数匹配,其目的是为了判断物联网设备当前是否处于安全状态。其中,当匹配时(比如服务请求携带的物联网设备当前的运行环境参数与物联网设备已注册的合法运行环境参数一致,或者差别在可控的阈值范围之内),则表示物联网设备处于安全状态;而当不匹配时,则表示物联网设备处于不安全状态。在本实施例中,只有服务请求携带的物联网设备当前的运行环境参数与物联网设备已注册的合法运行环境参数匹配时,才会继续基于物联网设备的服务请求进行相应处理,否则,拒绝提供服务,以防止恶意攻击、或者物联网设备文件系统被破坏等情况下提供服务而出现安全问题。
如步骤101描述,当服务请求携带的物联网设备当前的运行环境参数与物联网设备已注册的合法运行环境参数匹配时,Master会执行双层负载均衡。其中,第一层负载均衡是指:依据各Worker的资源占用情况并按照负载均衡方式从各Worker中选择一个目标虚拟设备。这里选择目标虚拟设备是使用平滑加权轮训模式选择的,下文会举例描述。第二层服务均衡是指:依据与目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的当前负载状态,确定一个目标FC光纤加密卡。这里选择目标FC光纤加密卡也是使用平滑加权轮训模式选择的,下文会举例描述。
步骤102,Master将目标FC光纤加密卡的标识和服务请求一起转发至目标虚拟设备,其中,目标虚拟设备在服务请求还携带密钥密文时,则利用服务请求携带的所述运行环境参数、以及已为所述物联网设备分配的数据加密区对应的根密钥对密钥密文进行解密得到数据加密密钥,并调用目标FC光纤加密卡利用所述数据加密密钥加密所述物联网设备采集的数据得到加密数据以通过光纤将加密数据发送至FC交换机由FC交换机将加密数据存入存储服务器。
在本实施例中,上述密钥密文是由服务器集群中一worker在之前通过对上述物联网设备所需的数据加密密钥进行加密得到的。这里的worker与上述确定的目标虚拟设备有关联,比如该worker绑定的FC光纤加密卡与上述目标虚拟设备绑定的FC光纤加密卡相同或者相互备份等。
通过步骤102可以看出,在本实施例中,即使物联网设备获得了所需的数据加密密钥的密钥密文,其在对采集的数据比如视频数据等进行加密时,是无法对该密钥密文进行解密得到所需的数据加密密钥,其必须和服务器集群一起协同对该密钥密文进行解密得到所需的数据加密密钥,实现了物联网设备与服务器集群一起协同解密数据加密密钥。而物联网设备与服务器集群一起协同解密数据加密密钥,避免了所有的加解密都集中固定在一端,提高了加密性能和安全性。
至此,完成图1所示流程。
通过图1所示流程可以看出,在本实施例中,服务器集群在接收到物联网设备的服务请求后,并非直接盲目地响应该服务请求,而是先对该物联网设备进行认证,在认证通过后再通过判断服务请求带的物联网设备当前的运行环境参数是否与物联网设备已注册的合法运行环境参数是否匹配来验证物联网设备当前是否处于安全状态,一旦匹配,才会进一步响应服务请求,这实现了服务器集群只为处于安全状态的物联网设备提供服务,防止恶意攻击、或者物联网设备文件系统被破坏等情况下提供服务而出现安全问题,提高加密性能;
进一步地,在本实施例中,服务器集群在响应服务请求时,需要借助于服务请求携带的物联网设备当前的运行环境参数、以及已为物联网设备分配的数据加密区对应的根密钥进行响应,实现了物联网设备与服务器集群一起协同提供服务,比如服务请求携带密钥密文,则物联网设备与服务器集群一起协同解密密钥密文得到数据加密密钥,避免了所有的加解密都集中固定在一端,提高了加密性能和安全性。
下面对上述步骤101中的确定物联网设备通过认证进行描述:
参见图2,图2为本申请实施例提供的步骤101中确定物联网设备通过认证的流程图。如图2所示,该流程可包括以下步骤:
步骤201,当服务请求携带认证令牌(Token)、以及用于生成Token的指定属性所对应的当前参数时,若依据当前参数验证所述Token有效,则执行步骤202,当服务请求未携带Token,或者当依据当前参数验证验证Token无效,则执行步骤203。
在本实施例中,Token用于表示之前已对物联网设备执行如下步骤203描述的具体认证操作、且通过如下步骤203描述的具体认证操作确定物联网设备通过认证。但是,Token是有生存时间的,比如5分钟,一旦超过生存时间,即使服务请求携带Token,此时也会认为Token无效。
还有,在本实施例中,物联网设备和服务器集群之间会提前协商用于生成Token的指定属性比如物联网设备身份标识、生成Token的时间等,当物联网设备发送的服务请求携带Token时,还会进一步携带已协商的用于生成Token的指定属性比如物联网设备身份标识、生成Token的时间等,以使服务器集群中的Master基于服务请求携带的参数并按照已定义的Token算法重新生成Token,比较重新生成的Token与服务请求携带的Token是否匹配(比如是否一致、或者差别在可控范围内),如果是,则确定服务请求携带的Token有效,否则,确定服务请求携带的Token无效。需要说明的是,这里仅是举例描述确定服务请求携带的Token是否有效的一种实施例,并非用于限定。
步骤202,确定物联网设备通过认证。
本步骤202是在依据服务请求携带的用于生成Token的指定属性所对应的当前参数验证服务请求携带的Token有效的前提下执行的,当验证服务请求携带的Token有效,如上针对Token,此时就没有必要重新执行如下步骤203描述的具体认证操作,直接确定物联网设备通过认证。
步骤203,触发物联网设备发起安全加固双向身份认证和/或安全加固权限认证,在物联网设备和Master通过已部署的安全加固双向身份认证、和/或物联网设备通过已部署的安全加固权限认证,则确定物联网设备通过认证。
在本实施例中,物联网设备发起的安全加固双向身份认证是本实施例新部署的安全加固身份鉴别方法,其目的是借助物联网设备更多的参数对物联网设备进行认证,以确保物联网设备的安全。可选地,在本实施例中,上述安全加固身份鉴别方法要求物联网设备在执行安全加固双向身份认证过程中至少提供包括以下内容的第一凭据给Master认证:物联网设备的身份标识和设备信息、第一时间、第一数据签名。其中,第一时间为生成第一凭据的时间,第一数据签名是通过对第一凭据中其他信息比如物联网设备的身份标识和设备信息、第一时间等进行签名得到的。这里,第一凭据还会包括其他信息,比如下文描述的认证值等,这里不一一举例。
对应地,在本实施例中,上述安全加固身份鉴别方法要求Master至少提供包括以下内容的第二凭据给物联网设备认证:Master的身份标识和设备信息、第二时间、第二数据签名。第二时间为生成第二凭据的时间,第二数据签名是通过对第二凭据中其他信息比如Master的身份标识和设备信息、以及第二时间进行签名得到的。
下文图3会举例描述安全加固双向身份认证,这里暂不赘述安全加固身份鉴别方法。
在本实施例中,物联网设备通过已部署的安全加固权限认证主要是指一些细粒度的权限认证,比如可为:物联网设备发送的服务请求携带的密钥操作标识满足针对该物联网设备配置的密钥操作权限,物联网设备发送的服务请求携带的数据加密区类型满足针对该物联网设备配置的数据加密区操作权限,等等。
在本实施例中,每一物联网设备可被分配至少一个数据加密区。该数据加密区是一个虚拟的概念,不同数据加密区的密钥和运算数据均相互隔离,其他物联网设备无法获取其权限外的数据加密区的数据。每个数据加密区具备一个对应的根密钥,根密钥的运算均在核准的密码硬件中进行,明文不出现在密码硬件边界外。每个数据加密区对应的根密钥用于对属于该数据加密区内的数据加密密钥等敏感数据进行加密保护,而所有数据加密区的根密钥可被整个服务器集群对应的系统根密钥加密保护。下文具体描述如何通过服务请求来请求数据加密密钥,这里不再赘述。
可选地,在本实施例中,针对物联网设备配置的密钥操作权限、数据加密区操作权限可在物联网设备注册成功后配置。可选地,物联网设备配置的密钥操作权限用于指示该物联网设备具有的操作权限。在具体实现时,针对物联网设备配置的密钥操作权限可包括:该物联网设备具有权限可操作的密钥类型比如加密密钥类型、认证密钥类型等。这里的操作是指密钥生成、分发、更新、撤销、恢复、归档、销毁等操作。
可选地,物联网设备配置的数据加密区操作权限用于指示该物联网设备具有的针对数据加密区的操作权限。具体实现时,针对物联网设备配置的数据加密区操作权限可包括:该物联网设备具有权限可操作的数据加密区类型比如对应加密密钥类型的数据加密区类型、对应认证密钥类型的数据加密区类型等。这里的操作可包括:针对该数据加密区的根密钥的生成、更新、删除、使用该数据加密区的根密钥对数据加密密钥进行加密、使用该数据加密区的根密钥对密钥密文进行解密得到数据加密密钥等细粒度的操作。
至此,完成图2所示流程。
通过图2所示流程实现了如何确定物联网设备通过认证。需要说明的是,在上述步骤203中,在确定物联网设备通过认证后,上述Master可进一步按照已与物联网设备协商的用于生成认证令牌Token的指定属性对应的参数,生成用于指示已通过认证的认证令牌Token并发送给物联网设备,以使所述物联网设备在后续发起服务请求时携带所述认证令牌Token。
下面对本申请实施例提供的物联网设备和Master通过已部署的安全加固双向身份认证进行描述:
参见图3,图3为本申请实施例提供的安全加固双向身份认证的流程图。如图3所示,该流程可包括以下步骤:
步骤301,Master生成第一随机数并发送给物联网设备,以触发物联网设备生成第一凭据。
可选地,Master可使用相绑定的FC光纤加密卡核准算法产生16字节随机数作为上述第一随机数。当Master生成第一随机数后会发送给物联网设备。当物联网设备接收到第一随机数后,其也会生成第二随机数。可选地,物联网设备可使用核准熵源生成16字节的第二随机数。之后,物联网设备会基于第一随机数、第二随机数计算第一凭据。
可选地,在本实施例中,物联网设备计算的第一凭据至少包括:物联网设备的身份标识和设备信息、第一时间、认证值、第一数据签名。其中,第一时间为生成第一凭据的时间,认证值是通过对物联网设备的用户名、密码以及第一随机数进行指定密码算法运算比如SM3运算等得到的,第一数据签名是通过对物联网设备的身份标识和设备信息、第一时间、所述认证值以及第二随机数进行签名得到的。可选地,第一数据签名可通过采用物理网设备的私钥对物联网设备的身份标识和设备信息、第一时间、所述认证值以及第二随机数进行签名得到。
作为一个实施例,以“A”表示物联网设备、“B”表示上述Master、上述指定密码算法运算为SM3为例,上述的第一凭据可通过下述公式1表示:
计算第一凭据(记为TokenAB)=IDA ||SM3(username || saltB || password) ||InfoA || Time || saltA || SignA(IDA ||SM3(username || saltB || password) ||InfoA || Time || saltA)(公式1)
在公式1中,“||”符号代表数据拼接。IDA为物联网设备的唯一身份标识,比如0086(代表国家标识)_0571(代表省份标识)_002415(公司标识)_0000001(设备标识);username代表物联网设备访问服务器集群的用户名;saltB代表第一随机数;password代表物联网设备访问服务器集群的密码;SM3(username || saltB|| password)代表对username ||saltB|| password数据进行多轮SM3迭代运算得到的结果;InfoA代表物联网设备的设备信息(包括物联网设备的IP地址,MAC地址,域名(若有),以及SM3运算迭代次数等);Time代表计算第一凭据(记为TokenAB)的时间;saltA代表物联网设备产生的16字节的第二随机数;SignA (IDA ||SM3(username || saltB|| password) || InfoA || Time || saltA)代表使用物联网设备的私钥对(IDA ||SM3(username || saltB|| password) || InfoA ||Time || saltA)的签名。
当物联网设备生成第一凭据后,其会将第一凭据发送给Master。
步骤302,Master获得第一凭据并对第一凭据进行验证,在第一凭据通过验证后,生成第二凭据并返回给物联网设备以使物联网设备验证第二凭据并在验证通过时确定物联网设备和Master通过已部署的安全加固双向身份认证。
可选地,本实施例中,基于上述对第一凭据的限定,则本步骤302中对第一凭据进行验证可包括:验证第一凭据中物联网设备的身份标识是否为已注册的物联网设备的身份标识且该身份标识在白名单中、验证第一凭据中物联网设备的设备信息是否为已注册的物联网设备的设备信息且该设备信息在白名单中、验证对已记录的包含上述身份标识的绑定关系中的用户名、密码、以及上述第一随机数进行指定密码算法运算比如SM3运算得到的值与第一凭据携带的上述认证值是否匹配、验证当前时间与第一凭据中的第一时间之间的时间差是否大于设定时间差阈值、验证第一数据签名(比如是验证第一数据签名是否可利用物联网设备对应的公钥解密),在所有验证均通过,则表示第一凭据通过验证,否则,表示第一凭据未通过验证。
在本实施例中,第二凭据的生成方式类似第一凭据,同样,对第二凭据的验证也类似第一凭据的验证,不再一一赘述。
至此,通过图3所示流程实现了物联网设备和Master之间的安全加固双向身份认证。
作为一个实施例,假若上述步骤101中的服务请求并未携带密钥密文,比如,物联网设备在发送上述服务请求时还未获得上述密钥密文,物联网设备在发送上述服务请求,是用于请求物联网设备所需的数据加密密钥以得到上述密钥密文。在此前提下,可选地,上述步骤101中,Master依据各Worker的资源占用情况并按照负载均衡方式从各Worker中选择目标虚拟设备可包括:根据各虚拟设备的资源占用情况(比如CPU占有率、内存占有率、I/O读写率、进程数、网络连接数和流量等),加权计算各虚拟设备的权重值,依据权重值选择最空闲的一个虚拟设备作为上述目标虚拟设备。比如有4个虚拟设备,计算出的权重值之比为5:3:1:1,则可选择权重值占比最大的一个虚拟设备(比如虚拟设备3或4)作为上述目标虚拟设备。
类似地,上述步骤101中依据与目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的当前负载状态,确定目标FC光纤加密卡可包括:根据FC光纤加密卡负载状态(如进程数与并发数、密码运算芯片任务数、网络模块流量负载、RAM空间等)的因素,加权计算权重值,依据权重值选择最空闲的一个FC光纤加密卡作为上述目标FC光纤加密卡。比如,有3个FC光纤加密卡,权重值为3:1:1,则可选择权重值占比最大的一个FC光纤加密卡作为上述目标FC光纤加密卡。
基于此,当上述Master按照图1所示流程将服务请求发送给目标虚拟设备后,目标虚拟设备就会先为物联网设备分配对应的数据加密区。在本实施例中,一个物联网设备可被分配至少一个数据加密区,不同数据加密区相互隔离,其他物联网设备无法获取其权限外的数据加密区中的数据。在本实施例中,一个数据加密区具备一个对应的根密钥(相比整个服务器集群对应的根密钥,该数据加密区对应的根密钥可称为二级根密钥,而整个服务器集群对应的根密钥称为一级根密钥)。可选地,目标虚拟设备可针对为物联网设备分配的每一数据加密区,通过调用目标FC光纤加密卡随机生成16字节SM4密钥作为该数据加密区的根密钥。
作为一个实施例,目标虚拟设备在为物联网设备分配至少一个数据加密区后,还可调用目标FC光纤加密卡为物联网设备生成属于物联网设备被分配的至少一个数据加密区的数据加密密钥。可选地,该数据加密密钥具有对应的密钥标识。在应用中,数据加密密钥不得以明文传输,但密钥标识可以明文传输。
之后,目标虚拟设备采用数据加密区对应的根密钥以及所述服务请求携带的运行环境参数对上述数据加密密钥进行加密得到密钥密文。目标虚拟设备将密钥密文转发至上述Master,以由Master获得目标虚拟设备生成的密钥密文并向物联网设备发送。物联网设备收到密钥密文后会存储该密钥密文,以在后续有密钥需求时将密钥密文携带在服务请求中发送至Master。最终实现了物联网设备与服务器集群相互协作生成物联网设备所需的数据加密密钥以及协同对数据加密密钥进行加密保护。
可选地,在上述过程中,Master还可进一步执行以下步骤:
步骤b1,获得目标虚拟设备为物联网设备分配的数据加密区、以及物联网设备相关联的密钥标识。这里的密钥标识如上描述,用于表征目标虚拟设备通过调用所述目标FC光纤加密卡为所述物联网设备生成的数据加密密钥;
步骤b2,记录获得的数据加密区、密钥标识、虚拟设备标识、FC光纤加密卡标识之间的对应关系。这里的虚拟设备标识是指所述目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡分别绑定的虚拟设备的标识。这里的FC光纤加密卡标识是指目标虚拟设备绑定的FC光纤加密卡的标识、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的标识。
这里,之所以通过步骤b1至步骤b2记录上述对应关系,其目的是便于精准地将后续物联网设备发送的服务请求分配至对应的Worker。
下面再以服务请求携带上述密钥密文为例描述:
当服务请求携带密钥密文,则表示物联网设备之前已发送过用于请求数据加密密钥的服务请求,也知道其请求的数据加密密钥对应的密钥标识(其一般会携带在密钥密文中告知物联网设备)。在此前提下,服务请求会携带密钥标识。基于此,可选地,上述步骤101中,Master依据各Worker的资源占用情况并按照负载均衡方式从各Worker中选择目标虚拟设备可包括:在通过上述步骤a2记录的所有对应关系中查找包含服务请求携带的密钥标识的目标对应关系,依据目标对应关系中各虚拟设备标识对应的虚拟设备的资源占用情况(比如CPU占有率、内存占有率、I/O读写率、进程数、网络连接数和流量等),加权计算各虚拟设备的权重值,依据权重值选择最空闲的一个虚拟设备作为上述目标虚拟设备。
类似地,上述依据与目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的当前负载状态,确定目标FC光纤加密卡可包括:在通过上述步骤a2记录的所有对应关系中查找包含上述服务请求携带的密钥标识的目标对应关系;依据目标对应关系中各FC光纤加密卡标识对应的FC光纤加密卡的当前负载情况根据FC光纤加密卡负载状态(如进程数与并发数、密码运算芯片任务数、网络模块流量负载、RAM空间等)的因素,加权计算权重值,依据权重值选择最空闲的一个FC光纤加密卡作为上述目标FC光纤加密卡。
需要说明的是,在本实施例中,服务器集群在运行过程中可能会出现异常,为避免该异常影响整个服务器集群,在本实施例中,上述Master还可通过图4所示流程监控服务器集群。
如图4所示,该流程可包括以下步骤:
步骤401,监控服务器集群的状态信息。
在一个例子中,这里的状态信息至少包括:服务器集群对应的根密钥的状态、各数据加密区对应的根密钥的状态,各数据加密区绑定的物联网设备信息、各数据加密区绑定的数据加密区操作权限,FC光纤加密卡的运行状态,各虚拟设备的运行状态。其中,服务器集群对应的根密钥的状态至少包括:根密钥维持时间、根密钥有效期等。各数据加密区对应的根密钥的状态至少包括:根密钥维持时间、根密钥有效期等。数据加密区绑定的物联网设备信息至少包括:被分配了该数据加密区的物联网设备的信息。各数据加密区绑定的数据加密区操作权限至少包括:针对每一数据加密区,数据加密区操作权限至少包括针对该数据加密区所属类型的权限。Master的运行状态至少包括:Master运行的负载均衡算法是否异常等。FC光纤加密卡的运行状态至少包括:FC光纤加密卡的资源使用率、硬件版本和驱动版本等是否异常。各Worker的运行状态至少包括:资源使用率等是否异常。
步骤402,将监控出的状态信息输入至已训练的管控模型得到异常事件告警或者异常事件提前预警,并对已部署的异常自动修复策略进行自学习以优化管控模型。
通过使用大数据分析和机器学习技术如使用python 数据分析算法库,基于监控出的状态信息确定出异常事件告警(如资源阈值超标、服务器集群异常、服务器集群资源分配异常、密钥管理状态异常、非法用户请求和异常攻击等)或者异常事件提前预警,以便实现提前分析异常和准确定位异常。
可选地,在本实施例中,还为每一异常设对应的安全管控策略,进行自我修复,并基于自动修复进行自学习以优化上述管控模型。
至此,完成图4所示流程。
通过图4所示流程实现了整个服务器集群的监控与异常处理。
以上是站在Master角度描述的本申请实施例提供的方法,下面站在Worker角度描述:
参见图5,图5为本申请实施例提供的第二方法流程图。该流程应用于上述的Worker。如图5所示,该流程可包括以下步骤:
步骤501,Worker在作为Master选择的目标虚拟设备时接收Master转发的来自物联网设备的服务请求。
该步骤501与上述图1所示流程对应,这里不再赘述。
步骤502,Worker在服务请求携带密钥密文时,则利用所述服务请求携带的运行环境参数、以及已为物联网设备分配的数据加密区对应的根密钥对所述密钥密文进行解密得到数据加密密钥,并调用目标FC光纤加密卡利用数据加密密钥加密物联网设备采集的数据得到加密数据以通过光纤将加密数据发送至FC交换机以由FC交换机将加密数据存入存储介质。
这里的目标FC光纤加密卡是Master基于上述步骤101确定的,这里不再赘述。
步骤502是以服务请求携带密钥密文,而当服务请求未携带密钥密文,比如该服务请求用于请求物联网设备所需的数据加密密钥以得到密钥密文,则上述步骤502可替换为:通过调用目标FC光纤加密卡为物联网设备生成述物联网设备所需的数据加密密钥,并利用已为物联网设备分配的数据加密区对应的根密钥以及服务请求携带的运行环境参数对该生成的数据加密密钥进行加密得到密钥密文;将密钥密文传输至Master以由Master向物联网设备转发密钥密文。
至此,完成图5所示流程。
通过图5所示流程实现了服务器集群在接收到物联网设备的服务请求后,并非直接盲目地响应该服务请求,而是先对该物联网设备进行认证,在认证通过后再通过判断服务请求带的物联网设备当前的运行环境参数是否与物联网设备已注册的合法运行环境参数是否匹配来验证物联网设备当前是否处于安全状态,一旦匹配,才会进一步响应服务请求,这实现了服务器集群只为处于安全状态的物联网设备提供服务,防止恶意攻击、或者物联网设备文件系统被破坏等情况下提供服务而出现安全问题,提高加密性能;
进一步地,在本实施例中,服务器集群在响应服务请求时,需要借助于服务请求携带的物联网设备当前的运行环境参数、以及已为物联网设备分配的数据加密区对应的根密钥进行响应,实现了物联网设备与服务器集群一起协同提供服务,比如服务请求携带密钥密文,则物联网设备与服务器集群一起协同解密密钥密文得到数据加密密钥,避免了所有的加解密都集中固定在一端,提高了加密性能和安全性。
以上对本申请实施例提供的方法进行了描述。下面对本申请实施例提供的系统和装置进行描述:
参见图6,图6为本申请实施例提供的系统结构图。该系统应用于物联网中新部署的服务器集群,服务器集群中的服务器包括至少一个FC光纤加密卡,FC光纤加密卡至少由FC光纤网卡和密码卡组成,FC光纤加密卡在对数据加密得到加密数据后直接通过光纤发送加密数据至FC交换机以由FC交换机将加密数据存入至存储介质;所述服务器集群中的服务器上虚拟出至少一个虚拟设备,服务器中的每一FC光纤加密卡与虚拟出的至少一个虚拟设备绑定,所述服务器集群中的其中一个虚拟设备作为主设备Master,剩余的作为从设备Worker;
所述Master,在具体实现时可按照上述图1所示流程执行。比如,接收物联网设备发送的服务请求,在确定所述物联网设备通过认证时,判断服务请求携带的所述物联网设备当前的运行环境参数是否与所述物联网设备已注册的合法运行环境参数匹配,若匹配,则依据各Worker的资源占用情况并按照负载均衡方式从各Worker中选择目标虚拟设备,并依据与目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的当前负载状态,确定目标FC光纤加密卡,将目标FC光纤加密卡的标识和服务请求一起转发至目标虚拟设备;
所述Worker,在具体实现时可按照上述图5所示流程执行。比如,在作为所述Master选择的目标虚拟设备时接收服务请求,在服务请求还携带密钥密文时,则利用服务请求携带的所述运行环境参数、以及已为所述物联网设备分配的数据加密区对应的根密钥对密钥密文进行解密得到数据加密密钥,并调用目标FC光纤加密卡利用所述数据加密密钥加密所述物联网设备采集的数据得到加密数据以通过光纤将加密数据发送至FC交换机由FC交换机将加密数据存入存储介质。
作为一个实施例,本申请实施例还提供了如图7所示的装置结构图。参见图7,图7为本申请实施例提供的第一装置结构图。在一个例子中,该装置应用于物联网中新部署的服务器集群中,服务器集群中的服务器包括至少一个FC光纤加密卡、以及虚拟出的至少一个虚拟设备;所述FC光纤加密卡至少由FC光纤网卡和密码卡组成,FC光纤加密卡在对数据加密得到加密数据后直接通过光纤发送加密数据至FC交换机以由FC交换机将加密数据存入至存储介质,每一FC光纤加密卡与至少一个虚拟设备绑定,所述服务器集群中的其中一个虚拟设备作为主设备Master,剩余的作为从设备Worker。该装置可应用于Master。如图7所示,该装置可包括:
确定单元,接收物联网设备发送的服务请求,在确定所述物联网设备通过认证时,判断服务请求携带的所述物联网设备当前的运行环境参数是否与所述物联网设备已注册的合法运行环境参数匹配,若匹配,则依据各Worker的资源占用情况并按照负载均衡方式从各Worker中选择目标虚拟设备,并依据与目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的当前负载状态,确定目标FC光纤加密卡;
发送单元,用于将目标FC光纤加密卡的标识和服务请求一起转发至目标虚拟设备;所述目标虚拟设备在服务请求还携带密钥密文时,则利用服务请求携带的所述运行环境参数、以及已为所述物联网设备分配的数据加密区对应的根密钥对密钥密文进行解密得到数据加密密钥,并调用目标FC光纤加密卡利用所述数据加密密钥加密所述物联网设备采集的数据得到加密数据以通过光纤将加密数据发送至FC交换机由FC交换机将加密数据存入存储介质。
作为一个实施例,确定单元确定物联网设备通过认证包括:
当所述服务请求携带认证令牌Token、以及用于生成所述Token的指定属性所对应的当前参数时,若依据所述当前参数验证所述Token有效,则确定物联网设备通过认证;
当所述服务请求未携带所述Token,或者当验证所述Token无效,则触发所述物联网设备发起所述安全加固双向身份认证和/或安全加固权限认证,在所述物联网设备和所述Master通过已部署的安全加固双向身份认证、和/或所述物联网设备通过已部署的安全加固权限认证,则确定物联网设备通过认证;其中,所述物联网设备通过已部署的安全加固权限认证是指:所述服务请求携带的密钥操作标识满足针对所述物联网设备配置的密钥操作权限,所述服务请求携带的数据加密区类型满足针对所述物联网设备配置的数据加密区操作权限。
作为一个实施例,物联网设备和Master通过已部署的安全加固双向身份认证是基于以下步骤确定:
生成第一随机数并发送给所述物联网设备,以触发所述物联网设备生成第一凭据;所述第一凭据至少包括:所述物联网设备的身份标识和设备信息、第一时间、认证值、第一数据签名;第一时间为生成第一凭据的时间,认证值是通过对物联网设备的用户名、密码以及所述第一随机数进行指定密码算法运算得到的,第一数据签名是通过对物联网设备的身份标识和设备信息、第一时间、所述认证值以及物联网设备生成的第二随机数进行签名得到的;
获得所述第一凭据并对所述第一凭据进行验证,在所述第一凭据通过验证后,生成第二凭据并返回给所述物联网设备以使所述物联网设备验证所述第二凭据并在验证通过时确定物联网设备和所述Master通过已部署的安全加固双向身份认证;所述第二凭据至少包括:所述Master的身份标识和设备信息、第二时间、第二数据签名;所述第二时间为生成第二凭据的时间,第二数据签名是通过对所述Master的身份标识和设备信息、以及第二时间进行签名得到的。
作为一个实施例,确定单元在触发所述物联网设备发起所述安全加固双向身份认证和/或安全加固权限认证之后,且当确定所述物联网设备通过发起的认证,则进一步按照已与所述物联网设备协商的用于生成认证令牌Token的指定属性对应的参数,生成用于指示已通过认证的认证令牌Token并发送给所述物联网设备,以使所述物联网设备在后续发起服务请求时携带所述认证令牌Token。
若所述服务请求用于请求所述物联网设备所需的数据加密密钥,确定单元进一步获得目标虚拟设备生成的密钥密文并向所述物联网设备发送;所述密钥密文是由所述目标虚拟设备利用已为所述物联网设备分配的数据加密区对应的根密钥以及所述服务请求携带的所述运行环境参数、对已为所述物联网设备生成的数据加密密钥进行加密得到的,所述为所述物联网设备生成的数据加密密钥是由所述目标虚拟设备通过调用所述目标FC光纤加密卡生成的。
若所述服务请求用于请求所述物联网设备所需的数据加密密钥,确定单元进一步获得所述目标虚拟设备为所述物联网设备分配的数据加密区、以及所述物联网设备相关联的密钥标识;不同数据加密区相互隔离,每一数据加密区具有对应的根密钥;所述密钥标识用于表征所述目标虚拟设备通过调用所述目标FC光纤加密卡为所述物联网设备生成的数据加密密钥;以及,
记录获得的所述数据加密区、所述密钥标识、虚拟设备标识、FC光纤加密卡标识之间的对应关系;所述虚拟设备标识是指所述目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡分别绑定的虚拟设备的标识,所述FC光纤加密卡标识是指所述目标虚拟设备绑定的FC光纤加密卡的标识、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的标识;
基于此,确定单元依据各Worker的资源占用情况并按照负载均衡方式从各Worker中选择目标虚拟设备包括:在已记录的所有对应关系中查找包含所述服务请求携带的密钥标识的目标对应关系;依据目标对应关系中各虚拟设备标识对应的虚拟设备的资源占用情况并按照负载均衡方式选择出一个目标虚拟设备。
作为一个实施例,确定单元依据与目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的当前负载状态,确定目标FC光纤加密卡包括:在已记录的所有对应关系中查找包含所述服务请求携带的密钥标识的目标对应关系;依据目标对应关系中各FC光纤加密卡标识对应的FC光纤加密卡的当前负载情况并按照负载均衡方式选择出一个目标FC光纤加密卡。
作为一个实施例,确定单元进一步监控所述服务器集群的状态信息;其中,所述状态信息至少包括:所述服务器集群对应的根密钥的状态、各数据加密区对应的根密钥的状态,各数据加密区绑定的物联网设备信息、各数据加密区绑定的数据加密区操作权限,FC光纤加密卡的运行状态,各Worker的运行状态,Master的运行状态;将监控出的状态信息输入至已训练的管控模型得到异常事件告警或者异常事件提前预警,并对已部署的异常自动修复策略进行自学习以优化所述管控模型。
至此,完成图7所示装置的结构描述。
参见图8,图8为本申请实施例提供的第二装置结构图。该装置应用于上述的Worker。如图8所示,该装置可包括:
接收单元,用于在作为上述Master选择的目标虚拟设备时接收Master转发的来自物联网设备的服务请求;目标虚拟设备是由Master在确定物联网设备通过认证、并判断服务请求携带的所述物联网设备当前的运行环境参数与所述物联网设备已注册的合法运行环境参数匹配时,依据各Worker的资源占用情况并按照负载均衡方式从各Worker中选择出的;
处理单元,用于在服务请求还携带密钥密文时,则利用所述服务请求携带的所述运行环境参数、以及已为所述物联网设备分配的数据加密区对应的根密钥对所述密钥密文进行解密得到所述数据加密密钥,并调用目标FC光纤加密卡利用所述数据加密密钥加密所述物联网设备采集的数据得到加密数据以通过光纤将加密数据发送至FC交换机以由FC交换机将加密数据存入存储介质;所述目标FC光纤加密卡是由所述Master依据与目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的当前负载状态确定的。
可选地,若所述服务请求未携带密钥密文,用于请求所述物联网设备所需的数据加密密钥,处理单元进一步通过调用所述目标FC光纤加密卡为所述物联网设备生成述物联网设备所需的数据加密密钥,并利用已为所述物联网设备分配的数据加密区对应的根密钥以及所述服务请求携带的所述运行环境参数对该生成的数据加密密钥进行加密得到密钥密文;将所述密钥密文传输至所述Master以由所述Master向所述物联网设备转发所述密钥密文。
至此,完成图8所示装置的结构描述。
本申请实施例还提供了上述方法对应的硬件结构。参见图9,图9为本申请实施例提供的电子设备结构图。如图9所示,该硬件结构可包括:处理器和机器可读存储介质,机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现本申请上述示例公开的方法。
基于与上述方法同样的申请构思,本申请实施例还提供一种机器可读存储介质,所述机器可读存储介质上存储有若干计算机指令,所述计算机指令被处理器执行时,能够实现本申请上述示例公开的方法。
示例性的,上述机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (12)

1.一种视频物联网大数据加密服务方法,其特征在于,该方法应用于物联网中新部署的服务器集群,服务器集群中的服务器包括至少一个FC光纤加密卡、以及虚拟出的至少一个虚拟设备;所述FC光纤加密卡至少由FC光纤网卡和密码卡组成,FC光纤加密卡在对数据加密得到加密数据后直接通过光纤发送加密数据至FC交换机以由FC交换机将加密数据存入至存储介质,每一FC光纤加密卡与至少一个虚拟设备绑定,所述服务器集群中的其中一个虚拟设备作为主设备Master,剩余的作为从设备Worker,该方法包括:
所述Master接收物联网设备发送的服务请求,在确定所述物联网设备通过认证时,判断服务请求携带的所述物联网设备当前的运行环境参数是否与所述物联网设备已注册的合法运行环境参数匹配,若匹配,则依据各Worker的资源占用情况并按照负载均衡方式从各Worker中选择目标虚拟设备,并依据与目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的当前负载状态,确定目标FC光纤加密卡;
所述Master将目标FC光纤加密卡的标识和服务请求一起转发至目标虚拟设备;所述目标虚拟设备在服务请求还携带密钥密文时,则利用服务请求携带的所述运行环境参数、以及已为所述物联网设备分配的数据加密区对应的根密钥对密钥密文进行解密得到数据加密密钥,并调用目标FC光纤加密卡利用所述数据加密密钥加密所述物联网设备采集的数据得到加密数据以通过光纤将加密数据发送至FC交换机由FC交换机将加密数据存入存储介质。
2.根据权利要求1所述的方法,其特征在于,所述确定物联网设备通过认证包括:
当所述服务请求携带认证令牌Token、以及用于生成所述Token的指定属性所对应的当前参数时,若依据所述当前参数验证所述Token有效,则确定物联网设备通过认证;
当所述服务请求未携带所述Token,或者当验证所述Token无效,则触发所述物联网设备发起安全加固双向身份认证和/或安全加固权限认证,在所述物联网设备和所述Master通过已部署的安全加固双向身份认证、和/或所述物联网设备通过已部署的安全加固权限认证,则确定物联网设备通过认证;其中,所述物联网设备通过已部署的安全加固权限认证是指:所述服务请求携带的密钥操作标识满足针对所述物联网设备配置的密钥操作权限,所述服务请求携带的数据加密区类型满足针对所述物联网设备配置的数据加密区操作权限。
3.根据权利要求2所述的方法,其特征在于,所述物联网设备和所述Master通过已部署的安全加固双向身份认证是基于以下步骤确定:
生成第一随机数并发送给所述物联网设备,以触发所述物联网设备生成第一凭据;所述第一凭据至少包括:所述物联网设备的身份标识和设备信息、第一时间、认证值、第一数据签名;第一时间为生成第一凭据的时间,认证值是通过对物联网设备的用户名、密码以及所述第一随机数进行指定密码算法运算得到的,第一数据签名是通过对物联网设备的身份标识和设备信息、第一时间、所述认证值以及物联网设备生成的第二随机数进行签名得到的;
获得所述第一凭据并对所述第一凭据进行验证,在所述第一凭据通过验证后,生成第二凭据并返回给所述物联网设备以使所述物联网设备验证所述第二凭据并在验证通过时确定物联网设备和所述Master通过已部署的安全加固双向身份认证;所述第二凭据至少包括:所述Master的身份标识和设备信息、第二时间、第二数据签名;所述第二时间为生成第二凭据的时间,第二数据签名是通过对所述Master的身份标识和设备信息、以及第二时间进行签名得到的。
4.根据权利要求2或3所述的方法,其特征在于,在触发所述物联网设备发起所述安全加固双向身份认证和/或安全加固权限认证之后,且当确定所述物联网设备通过发起的认证,则该方法包括:
按照已与所述物联网设备协商的用于生成认证令牌Token的指定属性对应的参数,生成用于指示已通过认证的认证令牌Token并发送给所述物联网设备,以使所述物联网设备在后续发起服务请求时携带所述认证令牌Token。
5.根据权利要求1所述的方法,其特征在于,若所述服务请求用于请求所述物联网设备所需的数据加密密钥,该方法进一步包括:
所述Master获得所述目标虚拟设备生成的密钥密文并向所述物联网设备发送;所述密钥密文是由所述目标虚拟设备利用已为所述物联网设备分配的数据加密区对应的根密钥以及所述服务请求携带的所述运行环境参数、对已为所述物联网设备生成的数据加密密钥进行加密得到的,所述为所述物联网设备生成的数据加密密钥是由所述目标虚拟设备通过调用所述目标FC光纤加密卡生成的。
6.根据权利要求1或5所述的方法,其特征在于,若所述服务请求用于请求所述物联网设备所需的数据加密密钥,该方法进一步包括:
所述Master获得所述目标虚拟设备为所述物联网设备分配的数据加密区、以及所述物联网设备相关联的密钥标识;不同数据加密区相互隔离,每一数据加密区具有对应的根密钥;所述密钥标识用于表征所述目标虚拟设备通过调用所述目标FC光纤加密卡为所述物联网设备生成的数据加密密钥;
所述Master记录获得的所述数据加密区、所述密钥标识、虚拟设备标识、FC光纤加密卡标识之间的对应关系;所述虚拟设备标识是指所述目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡分别绑定的虚拟设备的标识,所述FC光纤加密卡标识是指所述目标虚拟设备绑定的FC光纤加密卡的标识、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的标识;
所述依据各Worker的资源占用情况并按照负载均衡方式从各Worker中选择目标虚拟设备包括:在已记录的所有对应关系中查找包含所述服务请求携带的密钥标识的目标对应关系;依据目标对应关系中各虚拟设备标识对应的虚拟设备的资源占用情况并按照负载均衡方式选择出一个目标虚拟设备。
7.根据权利要求6所述的方法,其特征在于,所述依据与目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的当前负载状态,确定目标FC光纤加密卡包括:在已记录的所有对应关系中查找包含所述服务请求携带的密钥标识的目标对应关系;依据目标对应关系中各FC光纤加密卡标识对应的FC光纤加密卡的当前负载情况并按照负载均衡方式选择出一个目标FC光纤加密卡。
8.根据权利要求1所述的方法,其特征在于,该方法进一步包括:
监控所述服务器集群的状态信息;其中,所述状态信息至少包括:所述服务器集群对应的根密钥的状态、各数据加密区对应的根密钥的状态,各数据加密区绑定的物联网设备信息、各数据加密区绑定的数据加密区操作权限,FC光纤加密卡的运行状态,各Worker的运行状态,Master的运行状态;
将监控出的状态信息输入至已训练的管控模型得到异常事件告警或者异常事件提前预警,并对已部署的异常自动修复策略进行自学习以优化所述管控模型。
9.一种视频物联网大数据加密服务方法,其特征在于,该方法应用于物联网中新部署的服务器集群,服务器集群中的服务器包括至少一个FC光纤加密卡,FC光纤加密卡至少由FC光纤网卡和密码卡组成,FC光纤加密卡在对数据加密得到加密数据后直接通过光纤发送加密数据至FC交换机以由FC交换机将加密数据存入至存储介质;所述服务器集群中的服务器上虚拟出至少一个虚拟设备,服务器中的每一FC光纤加密卡与虚拟出的至少一个虚拟设备绑定,所述服务器集群中的其中一个虚拟设备作为主设备Master,剩余的作为从设备Worker,该方法包括:
任一Worker在作为所述Master选择的目标虚拟设备时接收所述Master转发的来自物联网设备的服务请求;所述目标虚拟设备是由所述Master在确定所述物联网设备通过认证、并判断所述服务请求携带的所述物联网设备当前的运行环境参数与所述物联网设备已注册的合法运行环境参数匹配时,依据各Worker的资源占用情况并按照负载均衡方式从各Worker中选择出的;
所述Worker在所述服务请求还携带密钥密文时,所述密钥密文是通过对所述物联网设备所需的数据加密密钥进行加密得到的,则利用所述服务请求携带的所述运行环境参数、以及已为所述物联网设备分配的数据加密区对应的根密钥对所述密钥密文进行解密得到所述数据加密密钥,并调用目标FC光纤加密卡利用所述数据加密密钥加密所述物联网设备采集的数据得到加密数据以通过光纤将加密数据发送至FC交换机以由FC交换机将加密数据存入存储介质;所述目标FC光纤加密卡是由所述Master依据与目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的当前负载状态确定的。
10.根据权利要求9所述的方法,其特征在于,若所述服务请求未携带密钥密文,用于请求所述物联网设备所需的数据加密密钥,该方法进一步包括:
所述Worker通过调用所述目标FC光纤加密卡为所述物联网设备生成述物联网设备所需的数据加密密钥,并利用已为所述物联网设备分配的数据加密区对应的根密钥以及所述服务请求携带的所述运行环境参数对该生成的数据加密密钥进行加密得到密钥密文;
所述Worker将所述密钥密文传输至所述Master以由所述Master向所述物联网设备转发所述密钥密文。
11.一种视频物联网大数据加密服务系统,其特征在于,该系统应用于物联网中新部署的服务器集群,服务器集群中的服务器包括至少一个FC光纤加密卡,FC光纤加密卡至少由FC光纤网卡和密码卡组成,FC光纤加密卡在对数据加密得到加密数据后直接通过光纤发送加密数据至FC交换机以由FC交换机将加密数据存入至存储介质;所述服务器集群中的服务器上虚拟出至少一个虚拟设备,服务器中的每一FC光纤加密卡与虚拟出的至少一个虚拟设备绑定,所述服务器集群中的其中一个虚拟设备作为主设备Master,剩余的作为从设备Worker;
所述Master接收物联网设备发送的服务请求,在确定所述物联网设备通过认证时,判断服务请求携带的所述物联网设备当前的运行环境参数是否与所述物联网设备已注册的合法运行环境参数匹配,若匹配,则依据各Worker的资源占用情况并按照负载均衡方式从各Worker中选择目标虚拟设备,并依据与目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的当前负载状态,确定目标FC光纤加密卡,将目标FC光纤加密卡的标识和服务请求一起转发至目标虚拟设备;
所述Worker,在作为所述Master选择的目标虚拟设备时接收服务请求,在服务请求还携带密钥密文时,则利用服务请求携带的所述运行环境参数、以及已为所述物联网设备分配的数据加密区对应的根密钥对密钥密文进行解密得到数据加密密钥,并调用目标FC光纤加密卡利用所述数据加密密钥加密所述物联网设备采集的数据得到加密数据以通过光纤将加密数据发送至FC交换机由FC交换机将加密数据存入存储介质。
12.一种电子设备,其特征在于,该电子设备包括:处理器和机器可读存储介质;
所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现权利要求1-10任一项的方法步骤。
CN202111113169.4A 2021-09-23 2021-09-23 一种视频物联网大数据加密服务方法、系统及装置 Active CN113572791B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111113169.4A CN113572791B (zh) 2021-09-23 2021-09-23 一种视频物联网大数据加密服务方法、系统及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111113169.4A CN113572791B (zh) 2021-09-23 2021-09-23 一种视频物联网大数据加密服务方法、系统及装置

Publications (2)

Publication Number Publication Date
CN113572791A true CN113572791A (zh) 2021-10-29
CN113572791B CN113572791B (zh) 2021-12-24

Family

ID=78174035

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111113169.4A Active CN113572791B (zh) 2021-09-23 2021-09-23 一种视频物联网大数据加密服务方法、系统及装置

Country Status (1)

Country Link
CN (1) CN113572791B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114745401A (zh) * 2022-03-22 2022-07-12 许馨 基于人工智能与物联网的接口访问方法、系统及云平台
CN114900324A (zh) * 2022-02-11 2022-08-12 北京中电飞华通信有限公司 基于odin的数据交互方法及相关设备
CN115499300A (zh) * 2022-09-19 2022-12-20 八维通科技有限公司 嵌入式设备集群化运行架构、方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104951712A (zh) * 2014-03-24 2015-09-30 国家计算机网络与信息安全管理中心 一种Xen虚拟化环境下的数据安全防护方法
CN111291332A (zh) * 2020-02-24 2020-06-16 山东超越数控电子股份有限公司 一种在虚拟化环境下共享使用加密卡的方法及系统
KR20200075099A (ko) * 2018-12-11 2020-06-26 (주)드림시큐리티 2단계 인증을 이용한 사물 인터넷 기기의 암호 키 발급 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104951712A (zh) * 2014-03-24 2015-09-30 国家计算机网络与信息安全管理中心 一种Xen虚拟化环境下的数据安全防护方法
KR20200075099A (ko) * 2018-12-11 2020-06-26 (주)드림시큐리티 2단계 인증을 이용한 사물 인터넷 기기의 암호 키 발급 장치 및 방법
CN111291332A (zh) * 2020-02-24 2020-06-16 山东超越数控电子股份有限公司 一种在虚拟化环境下共享使用加密卡的方法及系统

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114900324A (zh) * 2022-02-11 2022-08-12 北京中电飞华通信有限公司 基于odin的数据交互方法及相关设备
CN114745401A (zh) * 2022-03-22 2022-07-12 许馨 基于人工智能与物联网的接口访问方法、系统及云平台
CN115499300A (zh) * 2022-09-19 2022-12-20 八维通科技有限公司 嵌入式设备集群化运行架构、方法及装置
CN115499300B (zh) * 2022-09-19 2024-03-15 八维通科技有限公司 嵌入式设备集群化运行架构系统、构建方法及构建装置

Also Published As

Publication number Publication date
CN113572791B (zh) 2021-12-24

Similar Documents

Publication Publication Date Title
US11882442B2 (en) Handset identifier verification
US11849029B2 (en) Method of data transfer, a method of controlling use of data and cryptographic device
CN113572791B (zh) 一种视频物联网大数据加密服务方法、系统及装置
US8971537B2 (en) Access control protocol for embedded devices
EP3860036B1 (en) Key management method, security chip, service server and information system
WO2018089136A1 (en) System and method for transparent multi-factor authentication and security posture checking
JP7489069B2 (ja) Some/ip通信プロトコルを用いる乗物上におけるデータ又はメッセージの伝送の改良
CN106992978B (zh) 网络安全管理方法及服务器
US20190052623A1 (en) Authenticating Applications to a Network Service
EP3580885B1 (en) Private key updating
US10298588B2 (en) Secure communication system and method
WO2021104630A1 (en) Managing a subscription identifier associated with a device
AU2017412654B2 (en) Assuring external accessibility for devices on a network
CN114978771B (zh) 一种基于区块链技术的数据安全共享方法及系统
CN114021094B (zh) 远程服务器登录方法、电子设备及存储介质
CN106992976B (zh) 网络安全管理方法及服务器
CN115442136A (zh) 应用系统访问方法及装置
Sakon et al. Simple Cryptographic Key Management Scheme of the Electronic Control Unit in the Lifecycle of a Vehicle
CN117313144A (zh) 敏感数据的管理方法、装置、存储介质和电子设备
CN117294489A (zh) 一种基于授权策略的自适应动态访问控制方法及系统
CN117579291A (zh) 一种云原生多云管理方法、系统、电子设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant